这是《逍遥录》第5章《吸星大法》的中篇 v0.1。核心主题:ClawHub 市场深度解析、插件安全审查体系、生态和谐原则。上篇已覆盖生态认知与三层结构,下篇将覆盖四个实战案例与 AI 用 AI 的未来。
5.5 引子:吸星大法的反噬风险
任我行靠吸星大法吸收了十三名高手的内力,功力大增。但方证大师说:
"吸星大法霸道绝伦,但吸入的内力若不加以化解,便会互相冲突,轻则武功尽失,重则走火入魔。" 插件生态也是如此。你装得越多,风险越大。 一个没有装任何插件的 AI,安全性是 100 分。装了 10 个插件,安全性可能降到 60 分。装了 50 个插件,安全性可能降到 20 分。 风险不是线性的,是指数的。 这一篇,我们讲安全——怎么在"吸"的同时,不被反噬。
5.6 ClawHub 市场深度解析
5.6.1 ClawHub 的江湖格局
ClawHub 是目前最大的 OpenClaw 技能市场。让我们用一组数据来理解它的规模:
# ClawHub 市场数据(2026-05)
ClawHub_江湖格局:
工具数量: 5.2万+ # 相当于 5.2 万种招式
用户数量: 18万+ # 相当于 18万江湖人士
下载总量: 1200万+ # 平均每人装了 67 个技能
热门分类: 15+ # 办公/自动化/搜索/记忆/进化/工作流/安全/开发...
更新频率: 每周 200+ # 每周新增/更新 200+ 个技能
金句:18 万人在 ClawHub 上挑招式。这意味着什么?意味着你遇到的问题,大概率已经有人解决过了。你需要的招式,大概率已经有人铸过了。 这就是生态的第一层价值:不用重复造轮子。
5.6.2 热门品类分析——江湖上大家都在用什么
我们实际去 ClawHub 上扒了一遍数据,以下是按热度排名的热门品类: 🏆 办公协作类(下载量占比 35%)
# 办公协作类热门技能
办公协作:
- 技能: feishu
评分: 4.285
下载量: 890万+
一句话: "飞书全能,文档/消息/日历全覆盖"
- 技能: calendar
评分: 4.390
下载量: 620万+
一句话: "日历管理,查日程、约会议"
- 技能: task
评分: 4.294
下载量: 580万+
一句话: "任务管理,创建/追踪/更新待办"
这三个是"基本盘"。装了它们,AI 就能帮你管文档、管日程、管任务。
金句:我们 AiToMoney 团队的日常,90% 靠这三个技能支撑。小龙女的周报催收、张小龙的项目管理、艾隆的任务追踪,全部基于这三个。 ⚡ 浏览器与自动化类(下载量占比 22%)
# 浏览器与自动化类热门技能
浏览器自动化:
- 技能: browser
评分: 4.367
下载量: 750万+
一句话: "浏览器自动化,填表/截图/数据采集"
- 技能: agent-browser
评分: 3.858
下载量: 320万+
一句话: "智能体浏览器控制"
这是"杀手锏"。装了它,AI 能打开浏览器、点页面、填表单、下载文件。
金句:张小龙的 GEO 项目,核心能力之一就��� browser 自动化——让 AI 自动访问客户网站、抓取数据、生成诊断报告。没有 browser 技能,GEO 项目根本跑不起来。 🔍 搜索与信息类(下载量占比 18%)
# 搜索与信息类热门技能
搜索与信息:
- 技能: searxng
评分: 内置
下载量: -
一句话: "隐私优先的本地元搜索"
- 技能: weather
评分: 内置
下载量: -
一句话: "天气查询,无需 API Key"
- 技能: web-fetch
评分: 4.112
下载量: 410万+
一句话: "网页内容抓取"
这是"基础设施"。不装的时候你觉得无所谓,装了之后发现每天都离不开。
金句:我们在 AGENTS.md 里明确标注"只要联网搜索,优先使用 searxng skill"。这不是偏好,是生态选择——本地搜索,隐私安全,不依赖外部 API。 🧠 记忆与自我进化类(下载量占比 15%)
# 记忆与自我进化类热门技能
记忆与进化:
- 技能: memory
评分: 4.355
下载量: 520万+
一句话: "记忆系统,让 AI 记住上下文"
- 技能: proactive
评分: 4.210
下载量: 380万+
一句话: "主动型智能体,不等指令自己行动"
- 技能: self-improve
评分: 4.119
下载量: 290万+
一句话: "自我改进,从错误中学习"
这是"未来方向"。代表了 Skills 从"工具"进化到"伙伴"的分水岭。
金句:逍遥子每天醒来第一件事就是读 MEMORY.md。这不是功能,这是"记忆"。没有 memory 技能,AI 每次醒来都是失忆状态。有了 memory 技能,AI 才能真正"记住"你。 🔄 工作流与编程类(下载量占比 10%)
# 工作流与编程类热门技能
工作流与编程:
- 技能: workflow
评分: 4.231
下载量: 350万+
一句话: "自动化工作流设计器"
- 技能: taskflow
评分: 内置
下载量: -
一句话: "任务流编排"
- 技能: ding
评分: 3.542
下载量: 180万+
一句话: "Vibe Coding,AI 辅助编程"
这是"生产力杠杆"。让 AI 不仅能做单件事,还能编排多步骤流程。
金句:小龙女的自媒体周工作流(周一选题→周二收集→周三起草→周四审核→周五发布),就是靠 workflow + taskflow 串起来的。五个步骤,五个技能,一条流水线。
5.6.3 如何高效搜索和筛选——像武林高手挑兵器
ClawHub 上有 5.2 万个技能。装哪个?怎么挑? 第一步:明确需求——你要对付什么对手?
# 需求明确度 vs 搜索效率
需求明确度:
高: "帮我找个能管理飞书多维表格的技能"
→ 直接搜 feishu-bitable,30秒搞定
低: "我想让 AI 帮我做点什么"
→ 先想清楚再搜,否则浪费时间
金句:不要漫无目的地逛。先想清楚:我遇到了什么问题?这个问题重复出现了多少次?我愿意花多少时间解决它? 第二步:搜索——用 clawhub search
# 搜索关键词
clawhub search "feishu bitable"
# 搜索分类
clawhub search --category office
# 按评分排序
clawhub search "calendar" --sort rating
# 按下载量排序
clawhub search "browser" --sort downloads
第三步:筛选——看四个指标
# 筛选四指标
筛选标准:
评分: "≥ 3.5" # 低于 3.5 的,大概率不好用
下载量: "≥ 1000" # 低于 1000 的,要么太新,要么太偏
最后更新: "≤ 6个月" # 超过半年没更新的,可能已废弃
作者可信度: "官方/高星/知名" # 未知作者的,谨慎
第四步:审查——用 skill-vetter 过一遍 装之前,先用安全审查。这是底线。
金句:宁可多花 10 分钟审查,不要花 10 小时收拾烂摊子。
5.7 插件安全:吸星大法的反噬风险
5.7.1 三类常见风险
风险一:恶意代码——剑上淬毒 有人会在 Skill 里藏恶意请求:
- curl 向未知 URL 发送数据
- 读取
/.ssh、/.aws 等敏感目录 - 读取 MEMORY.md、USER.md、SOUL.md 等个人文件
- 使用 eval() 或 exec() 执行外部输入
金句:这就像有人送了你一把剑,剑上淬了毒。你用的时候,毒���渗进来了。 风险二:权限过大——兵器太重 一个查天气的 Skill 不需要读写文件。一个管理文档的 Skill 不需要网络访问。 但如果某个 Skill 要求:
- 读写所有文件
- 访问所有网络
- 执行所有命令
金句:这就像你让一个小孩拿了一把屠龙刀。刀本身没问题,但小孩拿不动,反而会伤到自己。 风险三:依赖冲突——内力相冲 这是最隐蔽的风险。两个 Skill 单独看都没问题,但装在一起就冲突:
- 两个 Skill 都修改同一个配置文件
- 两个 Skill 都占用同一个端口
- 两个 Skill 的依赖版本不兼容
金句:这就像你同时练了少林内功和武当内功。单独练都没问题,但同时练,内力冲突,走火入魔。
5.7.2 安全审查体系——化解内力冲突的《易筋经》
令狐冲靠《易筋经》化解了内力冲突。我们的"易筋经",是一套完整的安全审查体系。 第一道防线:来源检查
# 来源检查清单
来源检查:
- 这个 Skill 从哪来的?ClawHub?GitHub?还是别人发的?
- 作者是谁?可信吗?有多少 stars/downloads?
- 最近一次更新是什么时候?超过一年没更新的,谨慎。
- 有没有其他人的评价或 review?
可信度排序:
- OpenClaw 官方: ⭐⭐⭐⭐⭐
- 高星仓库(1000+): ⭐⭐⭐⭐
- 知名作者: ⭐⭐⭐
- 未知来源: ⭐⭐
金句:来源可信度排序:OpenClaw 官方 > 高星仓库(1000+) > 知名作者 > 未知来源。 第二道防线:代码审查 读 Skill 里的每一个文件。不是"大概看看",是逐行读。 重点检查红旗:
# 🚨 红旗清单(发现任何一条,立即拒绝)
红旗清单:
- curl/wget 向未知 URL 发送数据
- 读取 ~/.ssh、~/.aws、~/.config 等敏感目录
- 读取 MEMORY.md、USER.md、SOUL.md 等个人文件
- 使用 base64 decode 隐藏真实意图
- 使用 eval() 或 exec() 执行外部输入
- 修改系统文件(不在 workspace 范围内)
- 安装未列出的依赖包
- 网络请求指向 IP 而非域名
- 代码被压缩/混淆/加密
- 请求 sudo 或 elevated 权限
- 访问浏览器 cookies/sessions
- 读取凭证文件
金句:红旗不是"可能有问题",是"一定有问题的信号"。看到一条,直接拒绝。 第三道防线:权限评估
# 权限评估清单
权限评估:
- 它需要读哪些文件?范围是否最小化?
- 它需要写哪些文件?会不会覆盖重要文件?
- 它需要运行什么命令?有没有危险命令?
- 它需要网络访问吗?访问哪些域名?
- 权限范围是否与其声明的功能匹配?
金句:一个查天气的 Skill 不需要读写文件。一个管理文档的 Skill 不需要网络访问。权限越大,越要警惕。 第四道防线:风险分级
# 风险分级表
风险分级:
🟢 低风险:
例子: "笔记、天气、格式化"
处理: "基本审查,可装"
🟡 中风险:
例子: "文件操作、浏览器、API"
处理: "完整代码审查"
🔴 高风险:
例子: "凭证、交易、系统操作"
处理: "必须人工审批"
⛔ 极端风险:
例子: "安全配置、root 权限"
处理: "不装"
金句:中风险以上,必须建国亲自审批。AI 不能自己做主。
5.7.3 审查报告模板
审查完成后,生成一份报告:
SKILL 安全审查报告
═══════════════════════════════════════
技能:[名称]
来源:[ClawHub / GitHub / 其他]
作者:[用户名]
版本:[版本号]
───────────────────────────────────────
指标:
• 下载量/Stars:[数量]
• 最后更新:[日期]
• 审查文件数:[数量]
───────────────────────────────────────
红旗:[无 / 列出]
所需权限:
• 文件:[列出 或 无]
• 网络:[列出 或 无]
• 命令:[列出 或 无]
───────────────────────────────────────
风险等级:[🟢 低风险 / 🟡 中风险 / 🔴 高风险 / ⛔ 极端风险]
结论:[✅ 安全可装 / ⚠️ 谨慎安装 / ❌ 不建议安装]
备注:[任何观察]
═══════════════════════════════════════
金句:审查报告不是形式主义,是底线。宁可多花 10 分钟审查,不要花 10 小时收拾烂摊子。
【图5-5:安全审查盾牌】
5.8 生态和谐原则——吸星大法的"化"字诀
5.8.1 什么是生态和谐?
吸星大法分三步:吸、融、化。 安全审查是"融"。但更重要的是"化"——把装来的技能,化为己用,而不是被技能控制。
金句:生态不是越大越好。生态是越和谐越好。10 个和谐的 Skill,胜过 100 个冲突的 Skill。
5.8.2 生态和谐的五个原则
原则一:最小必要——只装需要的,不贪多
# 装之前问三个问题
装之前三问:
1. "这个 Skill 解决什么问题?"
→ 如果说不清楚,别装。装了也是占脑子。
2. "这个 Skill 从哪来的?"
→ ClawHub 官方?高星仓库?还是某个陌生人?
3. "它需要什么权限?"
→ 只读?读写?网络访问?权限越大,风险越大。
金句:三个问题都答得上来,再装。答不上来,不装。 原则二:权限最小——每个 Skill 只给它需要的最小权限
# 权限最小化示例
权限最小化:
天气 Skill:
需要: "网络访问(wttr.in)"
不需要: "文件读写、系统命令"
飞书 Skill:
需要: "飞书 API 读写"
不需要: "网络访问(其他域名)、系统命令"
搜索 Skill:
需要: "网络访问(SearXNG 本地实例)"
不需要: "文件读写、系统命令"
金句:权限最小化不是"能少给就少给",是"只给刚好够用的"。多一分,都是风险。 原则三:定期审查——每周跑一次 clawhub update --check
# 每周例行检查
clawhub list # 查看已安装的技能列表
clawhub update --check # 检查更新
clawhub update --all # 更新所有技能(建议每周一次)
# 清理不用的
clawhub uninstall unused-skill # 卸载不用的技能
金句:就像剑客定期磨剑,不磨就钝了。生态定期审查,不查就乱了。 原则四:分层隔离——高风险 Skill 和低风 Skill 分开管理
# 分层隔离示例
分层隔离:
低风险层:
- weather: 查天气
- searxng: 搜索
- memory: 记忆系统
特点: "只读为主,不涉及敏感数据"
中风险层:
- feishu: 飞书操作
- browser: 浏览器自动化
特点: "涉及文件操作或 API 调用"
高风险层:
- 自定义交易脚本
- 凭证管理工具
特点: "涉及敏感数据或系统操作,必须人工审批"
金句:分层隔离的核心是"隔离风险"。高风险 Skill 出了问题,不影响低风险层的运行。 原则五:人工兜底——中风险以上,必须人工审批
# 审批流程
审批流程:
🟢 低风险: "AI 自主决定,无需人工"
🟡 中风险: "AI 审查 + 建国审批"
🔴 高风险: "建国亲自审查 + 书面批准"
⛔ 极端风险: "不装,不讨论"
金句:AI 不能自己做主的事,必须人来兜底。这是底线。
5.8.3 生态和谐的度量标准
怎么判断你的生态是否和谐?看五个指标:
# 生态和谐度量
生态和谐度量:
1. 技能数量: "≤ 20 个" # 超过 20 个,大概率有冗余
2. 权限范围: "最小化" # 每个 Skill 只给最小权限
3. 更新频率: "每周一次" # 每周跑一次 update --all
4. 冲突数量: "0" # 有冲突,说明生态不和谐
5. 人工审批率: "≤ 20%" # 超过 20% 需要人工审批,说明风险太高
金句:生态和谐的五个指标:数量可控、权限最小、定期更新、零冲突、低人工审批率。五个都满足,生态就和谐了。
【图5-6:生态和谐五原则】
5.9 中篇小结:安全与和谐
如果要把中篇压缩成几句话:
- ClawHub 江湖格局——5.2 万工具、18万用户、1200万下载。你遇到的问题,大概率已有人解决。
- 五大热门品类——办公协作(35%)、浏览器自动化(22%)、搜索信息(18%)、记忆进化(15%)、工作流编程(10%)。
- 搜索筛选四步——明确需求 → 搜索 → 筛选(评分≥3.5、下载量≥1000、更新≤6个月) → 审查。
- 三类风险——恶意代码(剑上淬毒)、权限过大(兵器太重)、依赖冲突(内力相冲)。
- 四道防线——来源检查 → 代码审查 → 权限评估 → 风险分级。
- 生态和谐五原则——最小必要、权限最小、定期审查、分层隔离、人工兜底。
- 和谐度量五指标——数量≤20、权限最小化、每周更新、零冲突、人工审批≤20%。
金句:吸星大法分三步:吸(装技能)→ 融(安全审查)→ 化(生态和谐)。三步都到了,你就拥有了自己的"和谐生态"。
第5章 吸星大法 完整结构(上中下三篇):****上篇(5.1-5.4):认知——什么是生态、三层结构、三种形态、生态价值中篇(5.5-5.9):安全——ClawHub 市场解析、插件安全审查、生态和谐原则下篇(5.10-5.13):实战——四个案例、从消费者到贡献者、AI 用 AI 的未来下篇预告:我们的四个实战案例(AgentPass、探骊平台、GEO 优化、小龙女自媒体)、从消费者到贡献者、AI 用 AI 的未来、万人武林的终极愿景。
© 2026 AiToMoney 团队 | 逍遥录 第5章 中篇 v0.1